Crie seus Registros GDPR e LGPD com o BiZZdesign Enterprise Studio

postado em 13 de mar de 2019 17:17 por Antonio Plais   [ 14 de mar de 2019 03:31 atualizado‎(s)‎ ]
Baseado na postagem original por Joost Niehof* no blog da BiZZdesign. Adaptação, tradução e reprodução autorizados.

As empresas precisam criar e manter registros do porquê, onde e como eles estão processando dados pessoais dos seus clientes, parceiros, funcionários ou, no fundo, de qualquer pessoa, de acordo com regulações como o General Data Protection Regulation-GDPR, da União Europeia, ou com a Lei Geral de Proteção de Dados Pessoais-LGPD, no Brasil. Criar e manter estes registradores no BiZZdesign Enterprise Studio ajuda a garantir que você está criando registros coerentes e consistentes que se conformam com o desenho da arquitetura da sua empresa. Nesta postagem, gostaríamos de mostrar como usar o BiZZdesign Enterprise Studio para suportar este caso de uso específico da proteção de dados pessoais: a criação e manutenção de registros de todos os dados pessoais mantidos e processados pela empresa.

GDPR e LGPD

O General Data Protection Regulation (GDPR) é uma regulação bastante restritiva da União Europeia sobre a  proteção da privacidade, que entrou em efetividade em maio de 2018. A LGPD é a regulação brasileira correspondente, em vigor desde agosto de 2018 e com efetividade marcada para agosto de 2020. Em uma postagem anterior, nós destacamos os seguintes pontos sobre o GDPR, e que são também válidos para a LGPD:
  1. O GDPR se aplica a todas as empresas que processam dados de residentes na União Européia. A LGPD se aplica principalmente aos residentes no Brasil, além de alguns casos especiais
  2. O GDPR, assim como a LGPD, tem a ver com a demonstração da conformidade
  3. O GDPR e a LGPD esperam que você registre o propósito da coleta dos dados pessoais
  4. O GDPR e a LGPD requerem uma abordagem integrada de segurança-por-desenho
  5. O GDPR requer uma Avaliação de Impacto sobre a Proteção de Dados para qualquer alteração significativa nas condições de processamento dos dados pessoais, ao passo que na LGPD este requisito, embora existente, não seja tão claro
  6. O GDPR força a comunicação de vazamentos de informações dentro de 72 horas, enquanto a LGPD não estabelece explicitamente um prazo para comunicação
  7. A não conformidade com a regulação pode acarretar pesadas multas, de até 4% do faturamento, no caso do GDPR, e até 2% de faturamento limitado a R$50 milhões, no caso da LGPD
Alguns destes pontos terão impacto principalmente nos (desenhos dos) processos (itens 4, 5 e 6), enquanto outros mais impacto sobre o que e como você registra dados pessoais, e onde, como e porque você processa estes dados (itens 1,2 e 3).

Como muitas empresas estão lutando para implementar e se conformar com a LGPD e o GDPR, a Centus e a BiZZdesign desenvolveram uma solução prática para endereçar alguns dos problemas mencionados acima.

Registros

Uma forma prática para implementar alguns dos requisitos da LGPD e do GDPR é criar um registro de todos os processamentos de dados pessoais dentro da sua empresa. Tal registro poderia facilmente ser uma planilha, contendo todos os dados necessários. Tal registro poderia conter os seguintes itens, por exemplo:
  1. Nome da atividades de processamento
  2. Porque você está processando estes dados
  3. As bases legais para este processamento
  4. Alguma explicação adicional
  5. Quem está envolvido (internamente)
  6. Quem é responsável internamente
  7. Qual dado é processado
  8. Categorias especiais de dados
  9. De onde este dado foi obtido
  10. Categorias de terceiros recebedores dos dados
  11. Outros terceiros recebedores dos dados
  12. Período de retenção
  13. Contrato de processamento
  14. Tipo de processamento
  15. Aplicativos envolvidos
  16. Avaliação de impacto de privacidade necessária
Você poderia escolher manter este registro completo disponível apenas internamente e criar um registro com menos itens para divulgação pública, se necessário.

Como criar um registro como esse com o BiZZdesign Enterprise Studio

Para criar e manter um registro como esse, nós aconselhamos fortemente não criar um registro separado, mas integrar as informações necessárias nos seus modelos de arquitetura corporativa no Enterprise Studio. Em geral, você precisa dar os seguintes passos:

Figura 1. Passos para criar um registro no Enterprise Studio

Criar uma extensão do modelo

Use o metamodelador do Enterprise Studio para estender seu metamodelo atual com os atributos mencionados acima. Nós escolhemos adicionar um perfil (profile) especial com os atributos necessários ao conceito Componente de Aplicativo do ArchiMate. Depois, nós precisamos criar estereótipos para os Objetos de Dados e Atores de negócio para distinguir as categorias de dados, dados especiais e terceiros. Após aplicar o novo metamodelo ao repositório o perfil se parecerá com isso:


Figura 2. Perfil GDPR para o conceito ArchiMate Processo de Aplicativo

Modelar e adicionar os dados

A coleta de todos os dados sobre o processamento de dados pessoais na sua empresa é a parte mais difícil. Talvez você possa alavancar avaliações que você já tenha feito. Na próxima figura você pode ver um exemplo de um cenário de processamento de dados modelado.

Figura 3. Modelagem de um processamento de dados, incluindo os aplicativos, dados e atores envolvidos

Criar a exportação

Use a poderosa funcionalidade de exportação do Enterprise Studio para criar uma exportação dos dados para uma planilha Excel. Os princípios para criar uma importação (veja aqui) também podem ser usados para criar uma exportação. Você pode escolher desenvolver dois tipos de exportação, uma com o registro completo e outra apenas com as informações públicas.

Figura 4. Configuração da exportação do registro

Publicar o registro

Agora, você pode publicar o seu registro. Uma parte da planilha resultante pode ser vista abaixo. Se você implementou um processo de gestão de mudança adequado, você só tem que atualizar o modelo e publicar um registro atualizado de vez em quando (ou quando solicitado pelas autoridades).


Figura 5. Registro exportado para uma planilha Excel (clique para ampliar)

Veja isso em ação

Nós esperamos haver inspirado você a alavancar os seus modelos de arquitetura existentes (ou iniciar aquele tão adiado projeto de modelagem!) e adicionar ao seu repositório as informações necessárias para atender aos requisitos do GDPR e da LGPD sobre o processamento de dados pessoais. Se você ainda não viu o Enterprise Studio em ação, entre em contato e solicite uma demonstração.


*Joost Niehof é consultor de sucesso do cliente com foco em melhoria de processos, gestão de riscos e segurança da informação na BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.


 
Webinar Don't let the GDPR be a loose cannon - Are you ready?

Joost Niedorf, Consultor de Sucesso do Cliente da BiZZdesign, e especialista em gerenciamento de riscos, segurança e conformidade, apresenta neste webinar os principais requisitos e dificuldades para o atendimento de regulações como o GDPR (e que também são válidos para a LGPD).

Veja como um repositório de arquitetura corporativa, flexível e baseado na linguagem ArchiMate, pode ajudá-lo a superar este desafio.